Como usar peering de rede VPC

O peering de rede de nuvem privada virtual (VPC) do Google Cloud Platform (GCP) permite a conectividade RFC 1918 particular entre duas redes VPC, independentemente de pertencerem ou não ao mesmo projeto ou à mesma organização.

Para detalhes sobre peering de rede VPC, consulte a Visão geral de peering de rede VPC.

Configuração de peering de rede VPC

Dentro do mesmo node da organização, uma rede pode hospedar serviços que precisam ser acessados a partir de outras redes VPC em um mesmo projeto ou em projetos diferentes.

Também é possível que uma organização acesse os serviços oferecidos por outras organizações. Este é o caso da oferta de serviços de terceiros.

Os códigos do projeto são exclusivos em todo o GCP, portanto, você não precisa especificar a organização ao configurar o peering. O GCP conhece a organização com base no código do projeto.

Como configurar uma sessão de peering de redes VPC

Considere uma organização-A que precisa estabelecer um peering de redes VPC entre a rede-A no projeto-A e a rede-B no projeto-B. Para que o peering dessas redes seja estabelecido com sucesso, os administradores da rede-A e da rede-B precisarão configurar separadamente a associação.

Passo 1: fazer o peering entre a rede-A e a rede-B

Um usuário com as permissões de IAM adequadas no projeto-A configura a rede-A para estabelecer peering com a rede-B. Por exemplo, usuários com o papel roles/editor ou roles/compute.networkAdmin podem configurar o peering.

Peering da rede-A para a rede-B (clique para ampliar)
Peering da rede-A para a rede-B (clique para ampliar)

Antes de começar, você precisará dos IDs de projeto e dos nomes das redes que pretende compartilhar.

Console

  1. Vá para a página Peering da rede VPC no Console do Google Cloud Platform.
    Acesse a página Peering da rede VPC
  2. Clique em Criar conexão.
  3. Clique em Continuar.
  4. Insira o Nome de peer-ab para este lado da conexão.
  5. Em Sua rede VPC, selecione a rede para peering.
  6. Defina os botões de opção Peering da rede VPC como In another project, a menos que você queira estabelecer o peering no mesmo projeto.
  7. Especifique o código do outro projeto.
  8. Especifique o nome da outra rede VPC.
  9. Clique em Criar.

gcloud

gcloud compute networks peerings create peer-ab \
    --network network-A \
    --peer-project project-B \
    --peer-network network-B \
    --auto-create-routes

Até então, o estado do peering permanece INACTIVE porque não há configuração correspondente na rede-B no projeto-B.

Console

  1. Vá para a página Peering da rede VPC no Console do Google Cloud Platform.
    Acesse a página Peering da rede VPC
  2. O status diz "Aguardando a conexão da rede de peering".

gcloud

gcloud compute networks peerings list --network network-A
NAME      NETWORK   PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ab   network-A project-B    network-B    True               INACTIVE The peering network has not been configured.

Passo 2: fazer o peering entre a rede-B e a rede-A

Um NetworkAdmin ou um usuário com as devidas permissões de IAM no projeto-B precisa definir a configuração correspondente da rede-B para a rede-A para que o peering se torne ACTIVE nas duas extremidades.

Peering da rede-B para rede-A (clique para ampliar)
Peering da rede-A para a rede-B (clique para ampliar)

Console

  1. Vá para a página Peering da rede VPC no Console do Google Cloud Platform.
    Acesse a página Peering da rede VPC
  2. Clique em Criar conexão.
  3. Clique em Continuar.
  4. Insira um Nome de peer-ba para este lado da conexão.
  5. Em Sua rede VPC, selecione a rede para peering.
  6. Defina os botões de opção Peering da rede VPC como In another project, a menos que você queira estabelecer o peering no mesmo projeto.
  7. Especifique o código do outro projeto.
  8. Especifique o nome da outra rede VPC.
  9. Clique em Criar.

gcloud

gcloud compute networks peerings create peer-ba \
     --network network-B \
     --peer-project project-A \
     --peer-network network-A \
     --auto-create-routes

Passo 3: o peering de redes VPC se torna ACTIVE e as rotas são compartilhadas

Assim que o peering passa ao estado ACTIVE, os fluxos de tráfego são configurados:

  • Entre instâncias de VM nas redes com peering: conectividade de malha total
  • De instâncias de VM em uma rede para os pontos de extremidade de balanceamento de carga internos na rede com peering
Peering ACTIVE (clique para ampliar)
Peering ATIVO (clique para ampliar)

Console

  1. Vá para a página Peering da rede VPC no Console do Google Cloud Platform.
    Acesse a página Peering da rede VPC
  2. O status diz "Conectado".
  3. Vá para a página "Peering de redes VPC" no outro projeto e veja se o status também é "Conectado".

gcloud

gcloud compute networks peerings list --network network-A
NAME     NETWORK     PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ab  network-A   project-B   network-B    True                ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.
gcloud compute networks peerings list --network network-B
NAME     NETWORK     PEER_PROJECT PEER_NETWORK AUTO_CREATE_ROUTES STATE    STATE_DETAILS
peer-ba  network-B   project-A    network-A    True               ACTIVE   The peering became ACTIVE at 2016-06-08T15:10:14.111-07:00.

As rotas para prefixos CIDR da rede com peering agora estão visíveis em todos os pares da rede VPC. Elas são rotas implícitas geradas para peerings ativos, e não dispõem de recursos de rotas correspondentes. O comando a seguir lista rotas de todas as redes VPC para o projeto-A.

Console

  1. Acesse a página "Rotas" no Console do Google Cloud Platform.
    Acessar a página "Rotas"

gcloud

gcloud compute routes list --project project-A
NAME                              NETWORK    DEST_RANGE     NEXT_HOP                  PRIORITY
default-route-2a865a00fa31d5df    network-A  0.0.0.0/0      default-internet-gateway  1000
default-route-8af4732e693eae27    network-A  10.0.0.0/16                              1000
peering-route-4732ee69e3ecab41    network-A  10.8.0.0/16    peer-ab                   1000

Como excluir uma sessão de peering de redes VPC

Qualquer um dos lados pode remover a configuração do peering. Isso faz com que o peering volte a ter o status INACTIVE e todas as rotas para a rede com peering sejam removidas. Neste exemplo, a configuração do peering é removida da rede-A.

Console

  1. Vá para a página Peering da rede VPC no Console do Google Cloud Platform.
    Acesse a página Peering da rede VPC
  2. Marque a caixa de seleção ao lado do peering que você pretende remover.
  3. Clique em Excluir.

gcloud

gcloud compute networks peerings delete peer-ab --network network-A

Quando uma extremidade de uma sessão de peering de redes é excluída, o peering na outra extremidade se torna INACTIVE.

Peering de redes VPC entre organizações

Considere um cenário em que as instâncias de VM no projeto-A/rede-A precisam acessar serviços de duas organizações externas diferentes: SaaS1 e SaaS2. Para acessá-los por meio do espaço RFC 1918, a rede-A precisa fazer peering com o projeto-B da SaaS1/rede-B e o projeto-C da SaaS2/rede-C onde os serviços estão hospedados.

Peering entre organizações (clique para ampliar)
Peering entre organizações (clique para ampliar)

Para criar essa configuração, basta criar duas sessões de peering diferentes.

Restrições

Nenhuma sobreposição de intervalos de IP de sub-rede em redes VPC com peering

Nenhum intervalo de IP de sub-rede pode se sobrepor a outro em uma rede VPC com peering.

Verificações realizadas na configuração do peering de redes VPC

No momento de fazer o peering, o GCP verifica se há sub-redes com intervalos de IP sobrepostos entre as duas redes VPC ou em qualquer uma das redes com peering. Se houver uma sobreposição, o peering não está estabelecido. Como uma conectividade de malha completa é criada entre instâncias de VM, as sub-redes nas redes VPC com peering não podem ter intervalos de IP sobrepostos. Isso causaria problemas de roteamento.

Intervalos de IP de sub-rede sobrepostos entre dois pares (clique para ampliar)
Intervalos de IP de sub-rede sobrepostos entre dois pares (clique para ampliar)

Uma sub-rede com intervalos de IP sobrepostos entre pares de uma determinada rede VPC causaria um conflito de roteamento. Por exemplo, imagine que a rede VPC N1 já tenha estabelecido peering com a rede VPC N2. A rede VPC N3, então, tentaria fazer peering com a N2. Este um peering seria inválido, porque a N3 tem uma sub-rede Subnet_5 cujo intervalo de IP se sobrepõe com a Subnet_1 na rede N1.

Intervalos de IP de sub-rede sobrepostos com três pares (clique para ampliar)
Intervalos de IP de sub-rede sobrepostos com três pares (clique para ampliar)

Verificações realizadas na criação de uma sub-rede em cenários de peering de redes VPC

Quando uma sub-rede VPC é criada ou um intervalo de IP de sub-rede é expandido, o GCP executa uma verificação para garantir que a nova faixa de sub-rede não se sobrepõe aos intervalos de IP de sub-redes na mesma rede VPC ou em redes VPC com peering direto. Caso isso ocorra, a ação de criação ou expansão falhará. Por exemplo, quando uma nova sub-rede subnet_3 é criada na rede N2 na figura a seguir, os intervalos de IP não podem se sobrepor com os intervalos de IP definidos na rede N1 com peering direto.

Verificação de criação de sub-rede (clique para ampliar)
Verificação de criação de sub-rede (clique para ampliar)

O GCP também garante que nenhuma sobreposição de intervalos de IP de sub-rede seja permitida em redes VPC que tenham uma rede com peering em comum. Caso isso ocorra, a ação de criação ou expansão falhará. Por exemplo, quando uma nova sub-rede subnet_5 é criada na rede N3 na figura a seguir, os intervalos de IP não podem se sobrepor com os intervalos de IP definidos na rede N2 com peering direto ou na rede N1, porque a N1 já faz peering com a N2.

Verificação de criação de sub-rede com três pares (clique para ampliar)
Verificação de criação de sub-rede com três pares (clique para ampliar)

Não há suporte para redes legadas no peering de redes VPC

Redes legadas são redes que não dispõem de sub-redes. As redes legadas não podem fazer peering com outras redes e não são compatíveis com o peering de redes VPC.

VPNs não acessíveis em redes com peering

A VPN em uma rede não pode ser acessada a partir de uma rede com peering.

Sem DNS do Compute Engine entre projetos

Os nomes de DNS internos do Compute Engine criados em uma rede não são acessíveis para redes com peering. O endereço IP da VM precisa ser usado para acessar as instâncias da VM na rede.

As rotas configuradas pelo usuário não são propagadas em redes com peering

As rotas configuradas pelo usuário não são propagadas em redes com peering. Se você configurar uma rota em uma rede para um destino em uma rede VPC, esse destino não será acessível a partir de uma rede em peering.

Tags e contas de serviço não são utilizáveis em redes pares

Não é possível usar uma tag ou conta de serviço de uma rede em peering na outra rede em peering.

GKE com peering de rede VPC

O peering da rede VPC com GKE é compatível quando usado com alias de IP. Os serviços do Kubernetes, se expostos por balanceamento de carga interno, e IPs de pod são acessíveis em redes VPC.

Limites

Número limite de peerings

Uma rede pode ter até 25 redes com peering direto no total. Este total inclui pares ativos e inativos.

Limite de instâncias de VM no peering de redes VPC

Uma rede VPC pode ter até 15.500 instâncias nela mesma e em todas as redes VPC com peering direto.

Cada rede tem um "limite de instância de peering". Esse é um limite para o número de instâncias que podem estar na rede e em todas as redes de pares diretamente combinadas.

Limite de regras de encaminhamento de balanceamento de carga interno de peering de redes VPC

O limite por rede é de 50. Em outras palavras, o número de regras de encaminhamento em uma rede e todas as respectivas redes com peering direto não pode exceder esse limite.

Cada rede tem um "limite de regra de encaminhamento de balanceamento de carga interno de peering". Esse é um limite para o número de regras de encaminhamento de Balanceamento de Carga Interno que podem estar na rede e em todas as redes diretamente emparelhadas combinadas.

Solução de problemas

P: Minha conexão de peering está configurada, mas não consigo alcançar VMs pares ou balanceadores de carga internos.

Depois que a conexão peering se torna ACTIVE, pode demorar até um minuto para que todos os fluxos de tráfego sejam configurados entre as redes VPC com peering. Este tempo depende do tamanho das redes VPC conectadas por peering. Se você acabou de configurar a conexão de peering, aguarde um minuto e tente novamente. Além disso, verifique se não há regras de firewall bloqueando o acesso de/para os CIDRs de sub-rede da rede VPC com peering.

P: Quando eu tento configurar a conexão de peering, recebo um erro informando que outra operação de peering está em andamento.

Para evitar a contenção com atualizações de roteamento e similares, o GCP permite apenas uma atividade relacionada ao peering de cada vez em redes com peering. Por exemplo, se você configurar o peering em uma rede e tentar configurar outra imediatamente, as tarefas do primeiro peering podem não ter sido concluídas. Pode demorar até um minuto para que todas as tarefas sejam concluídas. Alternativamente, o par da rede existente pode estar adicionando um balanceador de carga interno ou uma VM, o que afeta o que é acessível entre as redes. Na maioria dos casos, você precisa aguardar um ou dois minutos e repetir a operação de peering.

P: Quando tento excluir uma rede VPC com peerings ACTIVE, recebo uma mensagem de erro.

Exclua seu lado da conexão de peering e tente novamente.

P: As redes VPC de que estou tentando fazer peering têm CIDRs de sub-rede sobrepostos. Existe alguma coisa que eu possa fazer para que o peering funcione?

Não. Você terá que alterar suas redes VPC de modo que os CIDRs da sub-rede não se sobreponham

P: Tenho uma rede VPC que faz peering com outra rede. Quero criar uma sub-rede na minha rede VPC. Como posso criá-la de modo que ela não se sobreponha à minha rede VPC com peering?

Veja as rotas de peering que apontam para a rede VPC como o próximo salto (hop). Essas rotas representam a lista de CIDRs de sub-rede na rede VPC com peering. Escolha um CIDR que não se sobreponha aos CIDR da sub-rede existente e aos CIDRs de sub-rede da rede VPC com peering

P: Tenho uma rede VPC que faz peering com outra. Quero criar uma sub-rede na minha rede VPC. Como posso criá-la de modo que ela não se sobreponha às redes VPC que fazem peering com a outra rede?

Neste momento, não há nenhum comando que ajude você a descobrir isso. Pergunte ao administrador da rede com peering para descobrir quais rotas de sub-rede já estão na rede.

P: Existem preocupações de segurança ou privacidade com o uso do peering VPC?

Depois que o peering é configurado, cada rede VPC conhece os intervalos de sub-rede da outra rede. Além disso, cada rede VPC conectada por peering é capaz de enviar e receber o tráfego de todas as VMs na outra rede, a menos que haja regras de firewall para evitar isso. Ainda, as redes com peering não têm visibilidade entre si.

P: Posso ver se há solicitações de peering VPC de outras redes VPC para a minha?

Não. O peering VPC funciona de modo bidirecional. Você configura o peering do seu lado e o seu par o configura do lado dele. Você só vê as solicitações de peering de VPC que configurou.

A seguir

  • Consulte Visão geral de rotas para mais informações sobre roteamento de VPC.
Esta página foi útil? Conte sua opinião sobre: